โปรแกรม Bug Bounty ที่เพิ่งนำมาใช้ใหม่ของ Uniswap ประสบความสำเร็จอย่างล้นหลาม เนื่องจากช่วยเปิดเผยและแก้ไขช่องโหว่ที่มีอยู่ในสัญญาอัจฉริยะของ Universal Router ในเวลาต่อมา
สัญญาอัจฉริยะใหม่สองรายการ ได้แก่ Permit2 และ Universal Router ได้รับการเผยแพร่ในเดือนพฤศจิกายน 2022 การแบ่งปันและการจัดการการอนุมัติโทเค็น สัญญาอัจฉริยะของ Permit2 ให้สิทธิ์แก่แอปพลิเคชันที่สามารถเข้าถึงความสามารถในการอนุญาตที่ปลอดภัย ในทางกลับกัน Universal Router จะรวบรวมธุรกรรม ERC-20 และ NFT ไว้ในเราเตอร์ swap เดียว ทำให้ Uniswap เป็นวิธีที่มีประสิทธิภาพมากขึ้นสำหรับการแลกเปลี่ยนระหว่างสกุลเงินดิจิทัลประเภทต่างๆ
ด้วยการแนะนำสัญญาอัจฉริยะใหม่เหล่านี้ Uniswap ยังได้ประกาศโปรแกรมรางวัลบั๊กซึ่งจะช่วยให้แพลตฟอร์มตรวจจับช่องโหว่ที่อาจเกิดขึ้นได้ ในขณะที่ตลาดสกุลเงินดิจิทัลและบล็อกเชนมีการพัฒนาอย่างต่อเนื่อง บั๊กจำนวนมากได้กลายเป็นแนวทางสำหรับบริษัทต่างๆ เพื่อให้แน่ใจว่าซอฟต์แวร์ ระบบ และโครงสร้างพื้นฐานที่สำคัญของพวกเขามีความปลอดภัย
บริษัทตรวจสอบความปลอดภัยของ DeFi Dedaub เป็นหนึ่งในกลุ่มแรกๆ ที่ได้รับรางวัลอันทรงเกียรติจากผลงานด้านการระบุช่องโหว่ในสัญญาอัจฉริยะของ Universal Router ช่องโหว่ดังกล่าวถูกตั้งค่าสถานะว่ามีความสามารถในการอนุญาตการกลับเข้ามาใหม่ในช่วงเวลายืนยันการทำธุรกรรม ซึ่งอาจถูกโจมตีโดยผู้คุกคามเพื่อระบายเงินของกระเป๋าเงิน
ทีม Dedaub ได้เปิดเผยช่องโหว่ร้ายแรงแก่ทีม Uniswap!
เงินทุนมีความปลอดภัย – Uniswap แก้ไขปัญหาและนำสัญญาอัจฉริยะ Universal Router ไปปรับใช้ใหม่ในทุกเครือข่าย 👏
ช่องโหว่นี้อนุญาตให้กลับเข้ามาใหม่เพื่อระบายเงินของผู้ใช้ กลางเดือน tx
— เดดับ (@dedaub) January 2, 2023
Dedaub อธิบายว่า Universal Router เปิดโอกาสให้ผู้ใช้ทำธุรกรรมจำนวนมากได้ในคราวเดียว เช่น การแลกเปลี่ยนโทเค็นและ NFT หลายรายการในคราวเดียว ภาษาสคริปต์ในตัวของเราเตอร์สามารถรองรับกิจกรรมโทเค็นได้มากมาย รวมถึงการถ่ายโอนไปยังผู้รับเงินภายนอก เมื่อดำเนินการอย่างถูกต้องทีละขั้นตอน เงินเหล่านี้จะถูกส่งทันทีหากการทำธุรกรรมเป็นไปตามเกณฑ์ที่กำหนดโดยพารามิเตอร์ของสัญญาอัจฉริยะ
จากการออกแบบ หมายความว่ารหัสส่วนที่สาม เมื่อเรียกใช้ระหว่างการถ่ายโอน อาจอนุญาตให้รหัสกลับเข้าสู่ Universal Router และจัดการหรือดึงโทเค็นที่อยู่ในสัญญาอัจฉริยะเป็นระยะเวลาชั่วคราว สิ่งนี้ทำให้ Dedaub whitehats ให้คำแนะนำแก่ Uniswap เกี่ยวกับการแก้ปัญหา ซึ่งเกี่ยวข้องกับการแพตช์สัญญาอัจฉริยะด้วยการล็อกการกลับเข้าใช้ใหม่สำหรับโมดูลการดำเนินการหลักของ Universal Router
จากนั้น Uniswap มอบเงิน 40,000 ดอลลาร์ให้กับทีม Dedaub อย่างรวดเร็วสำหรับการเปิดเผยข้อมูลอย่างรวดเร็ว จากข้อมูลของ Uniswap ปัญหามีความรุนแรงระดับปานกลาง ในขณะที่การประเมินช่องโหว่เพิ่มเติมชี้ไปที่สถานการณ์ที่มีโอกาสเกิดน้อยและมีผลกระทบสูง Dedaub ยืนยันว่าเวกเตอร์การโจมตีสามารถพิจารณาได้ว่าเป็นข้อผิดพลาดของผู้ใช้ เนื่องจากสถานการณ์จะเกิดขึ้นก็ต่อเมื่อผู้ใช้ส่ง NFT ไปยังผู้รับที่ไม่น่าเชื่อถือโดยตรงเท่านั้น
ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้นำเสนอหรือมีวัตถุประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรืออื่น ๆ
ที่มา: https://cryptodaily.co.uk/2023/01/defi-security-firm-dedaub-discloses-uniswap-vulnerability